用户
搜索

该用户从未签到

i春秋作家

Rank: 7Rank: 7Rank: 7

18

主题

49

帖子

3924

魔法币
收听
0
粉丝
101
注册时间
2016-12-7

i春秋签约作者春秋文阁

发表于 2018-1-27 16:56:48 10840593
本贴长期更新,从知乎过来的小伙伴可以直接翻到底部看更新,我收到新的勒索病毒事件后就会更新调戏系列。
也欢迎大家加入我创建的交流QQ群,一起调戏大黑阔!QQ群号:689194365


序言
         我的朋友张狗蛋是一个不折不扣的挂壁,江湖人称不开挂不舒服斯基,他的乐趣是在网上找一堆科技,好在游戏里享受那种神仙打架的快感.某天他又不知道从哪个群里下载了一个名叫xx自瞄透视什么的软件打算接下来好好爽一番.不想到刚运行完软件,他的电脑就蓝屏重启了,然后他的电脑就变成了这个样子.
a1.png
当然,下面是可以输入密码的,像这个样子
a1a.png
不过要是你没有输对密码,那么恐怕你就没办法进入系统了.显而易见的,张狗蛋运行的是一个勒索病毒,这回他恐怕当不成神仙了.

   相信看到这里各位看官中的不少就开始拍大腿了,麻蛋,我当初也有和张狗蛋一样的人生经历,相信有不少人真照着屏幕上的提示给这个勒索软件开发者交了一笔学费,但是我好气啊,我好怨啊,我好想报复啊,不过又没办法,只能照着屏幕上的提示,被勒索一笔钱财.其实各位看官现在看到的,正是当下非常常见的一款勒索病毒的形式,还有一种异曲同工之妙的是运行后你的windows会莫名其妙的被加上密码,变成类似下面这个样子:
a2.png
总之天上是不会掉馅饼的,中招的小伙伴应该有大半是为了贪小便宜而中招的,这类勒索软件大多会伪装成某种游戏的外挂或者号称能给你捞到些好处,并且在运行之前,都会口口声声说必须关闭杀毒软件否者不能使用之类的云云.不过本篇文章的目的并不是要告诉大家如何防范这类病毒,这种东西反正网上很多,也没多少人愿意看,笔者应朋友蛋蛋的邀请,写一些大家喜闻乐见大仇得报的,同时,已经中招的小伙伴也可以按照这篇文章的内容破解勒索病毒,没有中招但天天窝在被窝里唱我的寂寞谁的错的小伙伴也可以按照本文给出的方法自行娱乐,不用担心,我们的口号是三分钟入门,十分钟学会,半小时精通.

  那么我们到底要做什么呢,没错,我们要做的就是把这些勒索软件的老底都翻出来,然后找到这款勒索软件的作者,好好的嘲讽一番,其实对于把自己的快乐建立在别人的痛苦之上这种事笔者一般情况都是反对的,但是对于这类毫无良知的敲诈勒索之徒,笔者一向都无法克制体内的洪荒之力忍不住都想调戏一番,过街老鼠理应人人喊打.让大黑客们今晚气的睡不早觉,诶,我们的目的也就达到了(当然,相关截图证据都已送交对应举报中心,据完稿为止几个大黑客已经被封号处理了,如果读者中已经有蒙受经济损失的小伙伴,笔者建议立即报警).
   
调戏前的准备工作
其实故事的起因是笔者的一个朋友告诉笔者,他的电脑变成了就是狗蛋那个样子(当然狗蛋是虚构的,我那个朋友也不是挂壁---他只是有想当挂壁的心但没有当挂壁的胆),其实这类勒索软件的制作者绝大多数都是一些不满20岁的中二病熊孩子,另外还有一些是20-30岁左右对计算机那么一知半解半桶水但脑子里全是歪门邪道的菜逼,简单来说就是脚本小子,这类勒索软件的勒索代码,几乎都是千篇一律,其中的过半数都是某种工具生成出来的,另外不然就是易语言这种神奇的中二病语言制作出来的,不过请读者们放心,要破解这类勒索软件大多的情况下都非常的简单,还记得之前说所的三分钟入门,十分钟学会,半小时精通么,这个真不是吹牛。

当然,工欲善其事必先利其器,如果读者也打算自己练练手那么下面几个软件需要先行安装。
1.VMWare 这是一个虚拟机软件,安装的过程笔者就不复述了,网上非常多,这款软件的作用就是能够“虚拟一台”电脑,我们的病毒程序样本都放在虚拟机中运行,防止对我们的物理机破坏

a3.png
2.PeDoll 这是一个行为分析软件集(应该说不仅仅是行为分析软件),用来对恶意软件进行分析,它能够简化很多的逆向分析工作,甚至还具有“免疫”多数加壳加花反分析的的能力,当然目前这款软件已经开源了,在看官要是搞不懂下载下来照着做就行了,这款软件不需要任何安装,直接下载解压就可以使用了。
a4.png
3.勒索软件样本若干。笔者从某个朋友那一共弄了5个典型(调戏)的样本,当然,每个样本都对应一个“勒索大黑客”。
a5.png
那么假如你完成了上面的准备工作后,你就可以和笔者一起玩耍了,假如你不想自己动手,那么可以准备好瓜子饼干进入看戏模式了。




大黑客一号:不给钱,那就锁着吧
         大黑客一号行走江湖多年,练就了一身大哥大的王者风范,术语之专业勒索之老练,无不透露着“大黑客”的霸气,乃至于笔者吓得都差点交了保护费了。
a6.png
   在此之前,我们先来看看勒索软件样本,这个样本解压出来后是一个叫“狙击手”的软件,旁边还配了一张并没有什么卵用的教程图片,笔者将这个软件重命名为样本.exe
a7.png
我们打开虚拟机,将这个狙击手样本.exe和pedollà调试机程序下的所有文件都复制黏贴到虚拟机当中.
a8.png
完成后应该是这个样子
a9.png
右键以管理员身份运行pedolls.exe
b1.png
切回回物理机,在pedollà控制器文件夹中运行pedollc.exe
b2.png
选择菜单->监视器->然后填写虚拟机里pedolls上显示的IP地址,在上上张图中我们可以看到这个地址是192.168.44.128
b3.png
点击 菜单à规则à加载规则脚本然后在常用脚本文件夹中选中勒索程序调试
b4.png
在菜单栏点击 b40.png 然后在命令框中输入 doll db <荒野辅助.exe> 回车
b5.png
b6.png
之后,从左到右依次点击下面几个按钮
b7.png
不出意外,你应该会看到这个窗口
b8.png
在命令窗口输入hook WriteFile 注意大小写,回车
b9.png
然后一直点击执行,之后解密应该变成这个样子的
c1.png
同时,我们的虚拟机也“顺利”被勒索病毒锁上了
c2.png
在pedoll下菜单中点击数据,同时选中并双击第二个数据包
c3.png
那么密码在哪呢,其实密码就在右边窗口Y[到.的部分
c4.png
也就是说,这个勒索病毒的密码是1617asdasd,如果你仍然不清楚如何操作,那么下面的视频是演示步骤.整个过程只需要2分钟的时间就能学会
行了,既然密码破解了我们也要准备去拜访一下这位大黑客了,笔者伪装成受害者的样子,加这位大黑客,为了装的像一点,笔者使用手机拍了一张虚拟机的锁机平面
c5.png
这位显然是一位自信爆棚的大黑客,不仅勒索起来轻车熟路还打着招收徒弟的名号,打算培养更多的大黑客来做这一行当.大黑客很快给出了他的价码
c6.png
既然要装我们就装的像一点呗.讲价行不行
c7.png C9.png



显然大黑客还不答应,还打起了信誉第一,就凭你别侮辱信誉这个词了.玩的差不多了,开嘲讽
d1.png
大黑客很快和皮球一样发飙了
d2.png
估计这个大黑客今天心情都不美丽了,笔者将它的信息发在某群中,很快鹅厂的朋友送他了冻结套餐,但世界怎么就那么小呢,笔者在调戏完这名大黑客之后.又收到这个大黑客的样本,继续嘲讽一波
d3.png
不过大黑客没有回话.估计这个QQ号已经凉了.



大黑客二号:我家楼下算命的都比你强
样本2笔者拿到时名叫“穿越火线无限子弹”,其实久闻这款游戏乃各路龙傲天中二病聚集地,相信这个勒索程序中招的也不少。图标上还写着“意发科技”四个字,也不知道是哪个中二病创建的“毁灭世界”的组织,这些就不吐槽了,和第一个样本一样将这个样本和pedolls.exe一起复制到虚拟机。
重复上述步骤,直到输入hook WriteFile那一步,接下来的都不用做了,因为密码已经显示在PeDoll的监视窗口中了。

d4.png
在administrator后面的文本就是密码了,没错,就是123321
试验一下,看来没错
d6.png
好了,密码有了我们继续去找这个QQ叫3450420774的麻烦。老套路,笔者使用小号伪装成受害者加了这位大黑客
d7.png
这个大仙不知道为什么还问笔者几岁,当然是永远的18岁,他企图敲诈笔者50块,当然笔者也不是省油的灯,砍价到5块
d8.png
显然那么大的杀价大黑客不开心了,不开心就不开心呗,我找楼下算命的试试
d9.png
大黑客显然不愿意放过这门生意,看来穷疯了5块钱也不放过,笔者说,算命的说只要2块,然后把我们的密码报过去。
e1.png
e2.png
看着大黑客一脸不敢相信的样子,我们继续挑逗
e3.png
就不用骗自己了,估计这个大黑客的水准,密码破解估计不用1分钟,不过大黑客似乎没给我这个算命先生这个机会,把笔者拉黑了。





大黑客三号:你的密码只值0.01
         样本三号同样是逗比语言易语言的作品,它的大黑客一号的样本一样,同样是一个MBR勒索病毒,至于为什么是MBR勒索病毒呢,虚拟机运行后黑屏启动后会显示提示语的那种就属于MBR勒索病毒,不过这些都不是什么事儿,破解办法和一号的一模一样.笔者就不重复一遍了,直接贴上结果吧
e4.png
其中密码为
e5.png
也就是lovetxy123,想不到大黑客还是个多情小骚年,密码都设的那么有诗意,可惜妈妈说你什么都好,就不该是个大黑客.好了,现在我们来会会这大黑客,笔者就不旁白了,各位看官自行欣赏
e6.png
e7.png
e8.png
e9.png
f1.png
f2.png




大黑客四号:防破解做的还不错-但是并没有什么卵用
   说实话,笔者拿到大黑客四号样本的时候还是有点震惊的,为什么呢,一来这个勒索病毒,不仅加了壳加了花做了调试器检测,而且其而已代码还不是直接在本体进程执行的,而是通过注入其它进程的方式来执行的,并且注入的代码还是一个虚拟机.
  不过笔者估计大黑客应该是用某种防破解软件制作出来的,以他的智商应该不大可能写的出这种程序出来,不过这已经不是仅仅靠PeDoll就能完成破解了的,笔者使用了OllyDbg与PeDoll联调的方式,将密码解了出来,下面涉及些专业知识,非战斗人员可以选择跳过
1.首先我们把PeDolls和ollydbg还有样本一起复制到虚拟机,使用ollydbg加载这个样本.
2.输入bpCreateProcessW下API断点,切换到断点窗口,跳转到CreateProcessW的入口地址处,然后取消断点,把断点下在入口指令的下几条.
f5.png
为什么要这样做呢,因为这个程序防止调试断点手段就是检测入口点前1字节是否被修改为了int 3中断,如果不这样做,就会导致报错异常
f6.png
1.断在下一个断电后,执行程序触发断点,继续执行直到CreateProceeW 返回,同时通过栈监视窗口我们知道其创建了系统进程tcpsvcs.exe并将恶意代码注入到当中执行
f7.png
2.打开pedolls,使用控制器连接,输入enumprocess
f8.png
找到TCPSVCS的PID,可知其PID为2932,输入doll di <2932>回车,再次挂载勒索软件分析脚本,切换回ollydbg让恶意程序继续运行起来,之后的步骤就和之前做的一样了,最后抓取其密码得到7557881
f9.png
当然上述过程是破解的简化版本,其中如何绕过调试断点检测,其工作原理的分析都花了一天的时间,不过后来笔者突然发现一个更简单的办法:
我们先把这个勒索程序运行一下,结果虚拟机屏幕变成了这样
f3.png
然后我们把这个恶意程序重命名为.txt,用记事本打开,然后搜索QQ1219315840
g1.png
我们看到了什么,没错,密码就写在后面.
   这有点像一个人穿着上百万的西装请了顶级的发型师给他设计了发型喷上古龙香水看上去已经和一个完美绅士却忘了拉裤拉链一样.
   显然,这个工具并没有把大黑客的字符串一并加密了.好了,密码到手,继续开嘲讽技能
    k0.png
k1.png
k2.png
k3.png


话说才封三天,没有永封鹅厂你是助纣为虐啊.
k5.jpg




大黑客五号:我的套路你猜不透
前面调戏了四位大黑客,不过同一个套路笔者也有点玩腻了,除了举报封号,我们最多就气气这些大黑客了,但是大黑客到底是谁我们并不清楚,那么,大黑客五号就是时候来一见其庐山真面目了.
假如各位看官有看过类似的网络追凶电影,应该经常见得到如下场景,就是大黑客被抓,往往都是其IP地址被暴露了.
虽然电影里有些夸张的成分,但是在今天来说,ip地址如果追查下去,确实是可以定位一个人当前大致的所在位置的.如果和其它的渠道一起判断,往往就能确定在你屏幕内的那个人在现实世界中是谁了.
为此,笔者专程开发了一款软件叫TCP_Trap,它的作用是什么呢,简单来说.将它部署在服务器上,然后构造一个网页链接,当我们把这个链接发给对方并且对方点开来后,我们就可以获取对方的IP地址,就像下面这样(当然笔者只是以环回地址做测试)
g2.png
那么问题来了,我们怎么样让大黑客点开这个地址呢,这个也不复杂,我们只需要告诉大黑客他的勒索软件被破解了,密码发到网上了,然后我们装模做样把这个链接发给这个大黑客,他铁定会点开,那么我们说干就干,继续找到这位大黑客.
x0.png
哇还包教包会,那么厉害的么.
x1.png
好了大黑客IP地址到手,117.136.23.43湖北武汉移动.惊不惊喜,意不意外
x2.png
x3.png
大黑客之后就把笔者拉黑了,不过我们已经找到我们要的信息了,笔者对人肉搜索这种事并不感冒,除了举报这位大黑客外就不做进一步深究了.





后记
那么各位看官看的过瘾否,当然,现在仍然有一堆中二病大黑客还在从事这勒索的损人利己的勾当,不过多行不义必自毙,对付这类渣滓,本不需留些情面.
当然,如果你是这类病毒的受害者,那么你可以通过上述办法破解出密码,你也可以将恶意程序的样本发送到466184654@qq.com,   

本帖持续更新,欢迎大家加入QQ群:689194365 一起看戏!

附件下载:
PeDoll 1.6.1 -->https://pan.baidu.com/s/1dGWoiq9
样本打包下载--https://pan.baidu.com/s/1mkgPntu


评分

参与人数 1魔法币 +50 收起 理由
XiaoYue97 + 50 看更新

查看全部评分

本帖被以下淘专辑推荐:

驳回:创建进程:C:\Users\z\AppData\Local\Temp\RarSFX0\荒野辅助.exe命令行:"C:\Users\z\AppData\Local\Temp\RarSFX0\荒野辅助.exe"
大佬 这个报错是啥意思,小白表示不懂
使用道具 举报 回复
super咸fish 发表于 2018-1-29 10:30
驳回:创建进程:C:%users\z\AppData\Local\Temp\RarSFX0\荒野辅助.exe命令行:"C:%users\z\AppData\Local\ ...

解决了吗
使用道具 举报 回复
me17 发表于 2018-1-29 23:14
我想问下   我的显示调试程序还没有准备好   为什么呢,是哪里错了,我按着步骤来的呢 ...

解决了吗?我也是这样
使用道具 举报 回复
猎豹截图20180210093125.png

这是什么情况
只为破坏,不为牟利
Fuck.You.....I'm.XiaoBa....QQ:3047861776..Only.for.destruction....not.for.profit.U.


使用道具 举报 回复
发表于 2018-1-29 23:14:23
我想问下   我的显示调试程序还没有准备好   为什么呢,是哪里错了,我按着步骤来的呢
不说话不代表默认
使用道具 举报 回复
感谢大佬                    
使用道具 举报 回复
感谢大佬
                     
使用道具 举报 回复
湖北省武汉市江岸区沿江大道188号 武汉市人民政府附近7米
补充一下IP地址
使用道具 举报 回复
坏蛋 管理员 欢迎大家来春秋群找我玩 秦 楚 燕 魏 齐 赵 春秋文阁
沙发
发表于 2018-1-27 17:00:19
不多说,沙发是我的
欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
i春秋白帽子军团:451217067
i春秋-韩:556040588
i春秋CTF交流学习群:234714762
使用道具 举报 回复
发表于 2018-1-27 17:12:53
永远膜拜表姐
使用道具 举报 回复
发表于 2018-1-27 18:39:50
感谢分享!!!不过最重要的样本呢?
使用道具 举报 回复
表姐啊,没看够怎么办
使用道具 举报 回复
很过瘾,楼主你怎么会这么厉害
使用道具 举报 回复
这个很强势
使用道具 举报 回复
发表于 2018-1-27 20:34:12
小白路过学习
使用道具 举报 回复
发表于 2018-1-27 20:48:47
PEDollPEDollPEDollPEDollPEDoll
使用道具 举报 回复
发表于 2018-1-27 20:59:03
支持楼主,感谢分享.回复查看!!...
使用道具 举报 回复
发表于 2018-1-27 21:01:00
厉害了我的二狗
使用道具 举报 回复
发表于 2018-1-27 21:35:13
这个操作666太厉害了
使用道具 举报 回复
发表于 2018-1-27 21:59:30
不多说,xx是我的
不说话不代表默认
使用道具 举报 回复
666,佩服,膜拜膜拜
使用道具 举报 回复
大神666小白路过
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册